Gmail曾曝出「低級」
漏洞:
黑客可提取每一個用戶的郵件地址
流行的Google郵件服務——Gmail——已經被曝光出現了一個重大的安全漏洞,並且可導致黑客能夠提取谷歌資料庫中每一個用戶的郵件地址。其實早在去年的時候,一名「滲透」方面的安全專家——Oren Hafif——就已經發現了這點,並且證實可以在編輯Gmail「Rejection Confirmed」頁面的時候,操縱冷僻的「帳戶分享」功能。
當拒絕訪問一個共享帳戶,並改動頁面URL中的1個字符之後,Hafif發現自己可以讓頁面告訴他「已被拒絕進入另一個郵件地址」。
通過使用一款名叫「DirBuster」的黑客暴力程序,Hafif將改動字符的流程變成了自動式的。在隨後的2個小時內,他順利地將37000個Gmail地址保存到了一個文本文件中。
由此看來,這種方法確實可以提取出個人的郵件地址。鑑於這個問題長期未能得到修復,Hafif已於本周二發表了一篇博文和視頻,並且知會了Wired:
「其實我可以把提取的工作不停地做下去。我有充分的理由相信,每一個Gmail都有可能已經被別有用心的人『開採』過了」。
Hafif表示,這項技術可能被用於查看Google郵件託管服務上任何人的郵件地址。在他測試的某一時刻,Google探測到了他的舉動,並且組織了他的訪問。
不過Hafif只需簡單地修改URL中的另一個字符,就可以把這個流程繼續進行下去了。
當然,儘管單獨的郵件地址尚不能用於直接的帳戶訪問,但是成千上萬的名單可能會被出售給垃圾郵件發送者或網絡釣魚者牟利。
最後,值得慶幸的是,很多人或許從來不知道這個漏洞曾經存在過,因為Google已經把這個漏洞補上了。
[編譯自:Neowin , 來源:Oren Hafif , via:Wired]